Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Nieuw kantoor, VOIP, IP-cams, etc.

Pagina: 1
Acties:

vrijdag 3 oktober 2014 09:31

Acties:
  • bart1234
  • Registratie: Juli 2001
  • Laatst online: 25-11-2014

bart1234

Topicstarter
Hallo :W

Ik ben een hele tijd lang inactief geweest hier, omdat de tijd ontbrak om nog intensief met de computergerelateerde hobby bezig te zijn. Maar nu heb ik een probleem waar ik zelf niet uit kom, en ik hoop dat jullie mij helderheid kunnen verschaffen.

De situatie is als volgt. Wij hebben een nieuw kantoor gebouwd, om de hoek van het oude kantoor. In telefoonaansluitingen is niet voorzien, de enige optie die we daar hebben is dus om over te gaan op een VOIP systeem. Verder gaat er een camerasysteem komen, met IP-camera's en dus ook netwerkverkeer.

Situatieschets zoals het zou moeten worden:

Oude kantoor:
- 4 ISDN2 aansluitingen (voor telefoonverkeer) (bestaand)
- Cisco SG300-28P PoE switch met SFP GBIC glasmodule (bestaand)
- Panasonic hybride VOIP centrale
- 2 of 3 Panasonic VOIP telefoons
- Evenveel werkplekken c.q. pc's en een netwerkprinter
- Backup server + backup NAS
- 6 IP-camera's op bovengenoemde switch
- Internet verbinding (nu nog)

Nieuwe kantoor:
- Cisco SG300-52P PoE switch met SFP GBIC glasmodule (bestaand)
- Operationele glasvezelverbinding naar oude kantoor en vice versa (bestaand)
- +/- 8 VOIP telefoons
- Evenveel werkplekken c.q. pc's en twee netwerkprinters
- Operationele server + NAS
- HDD recorder van de camera's
- 8 IP-camera's rechtstreeks op de recorder
- Internetverbinding (toekomst)

Het is dus een hybride telefoonsysteem, de ISDN lijnen blijven bestaan i.v.m. onvoldoende stabiele internetverbinding.
De glasvezelverbinding is 1Gbit en die werkt.

In het nieuwe kantoor zijn per 2 werkplekken slechts 3 netwerkverbindingen beschikbaar, ik ben er dus toe verplicht om voor de computers de netwerkaansluiting achterop de telefoons te gebruiken. Die is gelukkig wel gewoon Gbit.

Ik loop vast bij een verhaal over VLAN's, QoS, tagging, en weet ik het wat. Google is je vriend, maar ik zie door de bomen het bos niet meer. Het idee van gescheiden netwerkverkeer kan ik volgen, maar daarna loop ik vast bij een hoop vaktermen die mij niks zeggen. Ik kan immers geen fysieke aparte poorten op de switch realiseren i.v.m. de bekabeling. Kan iemand me daar wat over vertellen?

Zowel de cameraboer als de telefonieboer hebben het over een apart VLAN, onze systeembeheerder (freelance ZZP'er) zegt dat dat allemaal niet nodig is omdat het qua dataverkeer zo'n vaart niet loopt. Wat is wijsheid, en hoe dan?

Ik hoef het dus niet zelf in te richten, maar ik moet wel beslissen hoe ik het wil hebben. En daarvoor ontbreekt me dus even de inhoudelijke kennis, laat staan ervaring :/ En daarnaast is het oude liefde, en die roest niet :*)

Edit:
Wat me ook niet helder is, is hoe het zit met de communicatie onderling. De telefooncentrale moet immers met de computers kunnen communiceren, en ook de camera's moeten met de HD-recorder communiceren, maar de HD-recorder op zijn beurt ook weer met de computers c.q. internetverbinding. Ik lees iets over Level 3 en iets over een router, maar begrijp ik nou goed dat dat alternatieven voor elkaar zijn?

[ Voor 7% gewijzigd door bart1234 op 03-10-2014 09:38 ]

vrijdag 3 oktober 2014 19:04

Acties:
  • de echte flush
  • Registratie: September 2007
  • Laatst online: 28-11 20:33

de echte flush

Oke we moeten dus niet te technisch gaan? :)

Bij ons werkt de netwerkverbinding achter de telefoon als volgt (een siemens telefoon: Openstage 40, de werking gaat hoogstwaarschijnlijk gewoon dezelfde zijn). Wij hebben wel z'n 100 van die telefoons en hebben er zelden problemen mee (héél af en toe moet je ze herstarten omdat de pc network port niet meer werkt).
Maar werkt ongeveer als volgt:
VLAN7 bv. VLAN Administratie
VLAN15: VLAN telefonie
Op de switch poort waar de telefoon aanhangt hebben we volgende VLAN's:
VLAN 7 Untagged en VLAN 15 tagged.
Op de telefoon passen we de settings aan dat de pc port enabled is + dat telefonie Tagged 15 is. De telefoon zorgt dan dat het tagged verkeer voor telefonie is en dat untagged verkeer doorgegeven wordt aan de pc port.

(tagging is dus een extra frame toevoegen aan de ethernet header zodat de switch, router,.. weet tot welk virtueel netwerk het verkeer behoord). Je kan dus eigenlijk meerdere netwerken over één kabel transporteren.

Het verkeer scheiden m.b.v. een VLAN zou ik zeker doen bv:
- VLAN1 = management (beheer voor de ICT beheerders)
- VLAN2 = printers
- VLAN3 = Wifi-guest
- VLAN4 = Wifi-intern
- VLAN5= servers
...
- VLAN7 = computers
- VLAN 15 = telefonie
- VLAN 16= IP camera's

Segmentatie zou ik zeker doen heeft redelijk wat voordelen:
- broadcast domain wordt verkleind
- overzicht
- security
- ...

Printers en computers kunnen eventueel samen, als het nu maar 3 printers... Bij ons is zoveel mogelijk "gesegmenteerd" omdat je dan met een NAC (Network Access Control) kan bepalen wat kan per VLAN bv. in de printer vlan mogen enkel print protocols en enkel verkeer tussen pc <-> printer vlan. (als iemand de printer uittrekt, en zijn laptop insteekt kan ie niet surfen en wordt het moelijker viezigheid in ons netwerk te brengen). Segmentatie kan eigenlijk geen kwaad en je weet nooit wat de toekomst brengt ;)


Nadeel is misschien inderdaad dat het netwerk "iets" ingewikkelder wordt maar denk dat gewoon wat VLANs aanmaken en beheren nog wel te doen is (documentatie!). Je hebt ook redelijk deftige switches die dit perfect kunnen en je hebt dus niet direct extra kosten.

Hoofdstukje QoS: Hiermee kan je bepaald "belangrijker" verkeer een hogere prioriteit geven:
- bv: telefonie heeft een hoge prioriteit nodig om te voorkomen dat je gesprek begint te haperen als een werknemer besluit een youtube filmpje te kijken, films te downloaden... (kan op de switch, firewall/router? ...).


Onderlinge communicatie:
Als je gewoon die VLANs aanmaakt zoals hierboven gaan ze inderdaad niet zomaar kunnen communiceren: een pc gaat dus niet kunnen printen naar een printer in de printer vlan. Hiervoor het je inderdaad een router nodig (een Layer 3 device inderdaad) maar de switch die jullie hebben kan ook voor routering zorgen dat de virtuele netwerken met elkaar kunnen communiceren en heb je dus geen extra router nodig.
Dus layer 3 en een router zijn geen alternatieven maar een router of L3 switch is een device in de layer 3 laag van het OSI model.


Als er iets meer uitgeschreven moet zijn hoor ik het wel ;)

[ Voor 10% gewijzigd door de echte flush op 03-10-2014 19:53 ]

zondag 5 oktober 2014 10:30

Acties:
  • josvane
  • Registratie: Oktober 2002
  • Laatst online: 27-11 15:50

josvane

Het uitsplitsen in VLAN's is altijd aan te raden. In tegenstelling tot wat de echt flush zegt zou ik VLAN 1 nooit voor management gebruiken. Een niet geprogrammeerde switchpoort is altijd VLAN 1, hier voegt hij geen frame toe aan de meest voorkomende data, die van van je computers.

Verder als er nu spontaan iemand binnen komt, en die prikt zijn PC in een poort kan hij zomaar in je management LAN komen.

Afhankelijk van de grote van je organisatie, ik verwacht 8 werkplekken, zou ik niet overvloedig gebruik maken van VLAN's het maakt je netwerk onnodig lastig. Gewoon PC's, servers en printers in hetzelfde VLAN. De overige wel apart.

dinsdag 7 oktober 2014 18:32

Acties:
  • bart1234
  • Registratie: Juli 2001
  • Laatst online: 25-11-2014

bart1234

Topicstarter
Kijk, dat zijn de antwoorden waar ik iets mee kan! _/-\o_

Na enig beraad komt het er op neer dat we op slechts één set werkplekken na toch voldoende netwerkaansluitingen hebben om het telefoon- en netwerkverkeer fysiek te scheiden tot op de switch. Op die ene probleemplek hangen we gewoon een klein 5-poorts swichje op, zo kan ik ook meteen een extra laptop, labelprinter, weet ik het inpluggen. Dat wordt toevallig ook mijn eigen werkplek en ik heb nog wat experimenten voor de boeg :P Extreem dataverkeer hebben wij niet, dus in de praktijk zal het delen van die ene 1gbit lijn over twee computers niet merkbaar zijn. Te meer omdat mijn ouweheer aan de overkant komt te zitten, en die... sja... you catch my drift :+

Wat betreft de VLAN's was ik ook niet van plan om het onnodig moeilijk te maken. We hebben hier inderdaad een kleine organisatie, en op dit moment zit alles gewoon lekker bij elkaar zoals je thuis zou doen. En in de basis lijkt het mij inderdaad verstandig om dat gewoon zo te houden.

Aangezien we dus alsnog fysiek gescheiden verkeer kunnen realiseren, laten we het hele trunking en tagging verhaal achterwege. Dat maakt het qua beheer eenvoudiger en het geheel ook minder storingsgevoelig. En waarom moeilijk doen, als het toch makkelijk blijkt te kunnen?

Kortom, er komt een VLAN voor de telefonie, een VLAN voor de camera's en HD recorder, en er komt een VLAN voor de rest. Een apart iets voor bezoekers is hier niet zo heel relevant, diegenen die hier met een laptop komen en bijvoorbeeld van het internet gebruik willen maken zijn sowieso geen bedrijfsvreemden. Daarbij komt dat die apparaten niet in het domein aangemeld zijn en dus toch nergens bij kunnen komen op de servers. Uiteraard, daar zal vast een echte hacker wel omheen kunnen. Laat ik het zo zeggen: de meesten kunnen net een e-mail versturen en een word documentje in elkaar knallen :+

Hartelijk dank voor jullie input, het wordt zeer gewaardeerd O+
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq